Beiträge

Januar 31, 2023

Auskunftsanspruch nach Art. 15 DSGVO darf auch datenschutzfremde Ziele verfolgen

Der Auskunftsanspruch nach Art. 15 DSGVO ist nicht allein deswegen als rechtsmissbräuchlich einzustufen, weil mit ihm datenschutzfremde Ziele verfolgt werden. Nach Ansicht des OLG Celle (8 U 165/22) ist die Motivationslage des Klägers nicht maßgeblich bei der Bewertung der Begründetheit des Auskunftsantrags. Die DSGVO mache den Auskunftsanspruch gerade nicht von einer bestimmten Zielsetzung des Anspruchsinhabers abhängig. Entsprechend muss der Anspruch auch nicht begründet werden. Im vom OLG Celle zu entscheidendem Fall hatte der Anspruchsinhaber Auskunft über die Prämienerhöhung bei seiner privaten Krankenversicherung verlangt. Der Versicherer hatte den Anspruch zurückgewiesen, da der Antragssteller keinen datenschutzrechtlichen Grund verfolge.

Durch das Urteil wird es für Unternehmen in Zukunft deutlich schwerer Auskunftsansprüche mit dem Verweis auf Rechtsmissbräuchlichkeit zurückzuweisen. Unternehmen sollten daher den Umgang mit Betroffenenansprüchen prüfen und ggf. vorhandene Richtlinien entsprechend überarbeiten.



Januar 24, 2023

Beschlussentwurf der EU-Kommission zum US-Datenschutz

Die EU-Kommission hat kurz vor Weihnachten noch einen Beschlussentwurf vorgelegt, der das angemessene Schutzniveau für personenbezogene Daten gewährleisten soll, wenn diese aus der EU in die USA übermittelt werden. Damit soll den Bedenken des EuGH aus dem Schrems-II-Verfahren Rechnung getragen werden.

Bevor die Kommission allerdings eine Angemessenheitsentscheidung erlassen kann, wird sich erst einmal der Europäische Datenschutzausschuss (EDSB) und das Europäische Parlament damit befassen. Dann steigt die – bis auf Weiteres – die Rechtssicherheit bei der Nutzung notwendiger und alltäglicher Datenverarbeitung mit US-Unternehmen.



Januar 20, 2023

Mehr Rechtsicherheit für Auftragsverarbeiter

Wer als Auftragsverarbeiter personenbezogene Daten für Partner und Kunden verarbeitet, kann nun dank der neuen Verhaltensregel gem. Art. 40 DSGVO „Trusted Data Processor“ des LfDI Baden-Württemberg für mehr Rechtssicherheit sorgen.

Auftragsverarbeiter können mit einer Selbstverpflichtung auf die Verhaltensregel „Trusted Data Processor“ demonstrieren, dass sie den in der Verhaltensregel festgelegten Vorgaben folgen und sie sich deren Überwachung durch eine Überwachungsstelle haben wird. Die Vorgaben der Verhaltenregeln sehen z. B. bestimmte Mindeststandards für die Einbindung und Kontrolle von Unterauftragsverarbeitern, den Umgang mit Betroffenenrechten, die Meldung von Datenschutzvorfällen, die Verpflichtung auf Vertraulichkeit von Beschäftigten und Eigenkontrolle vor.

Mehr Informationen gibt es auf der Webseite www.verhaltensregel.eu.



Dezember 6, 2022

LG Berlin: Schmerzensgeld und Videoüberwachung

Der Eigentümer eines Mehrparteienhauses in Berlin ließ den Innenhof des Gebäudes per Video überwachen. Einem Mieter des Hauses hat das Landgericht Berlin (63 O 213/20) nun ein Schmerzensgeld nach Art. 82 DSGVO zugesprochen.

Der Mieter hatte u. a. vorgetragen, dass der Innenhof für ihn wegen des Überwachungsdrucks praktisch nicht nutzbar war. Das Gericht sah eine Videoüberwachung zu präventiven Zwecken (Diebstahlsvermeidung etc.) als nicht gerechtfertigt an und verneinte auch das Vorliegen sonstiger Anhaltspunkte für ein Überwiegen der Interessen des Eigentümers gegenüber den schutzwürdigen Interessen des Betroffenen. Das Gericht gewichtete insbesondere, dass der Innenhof von den Bewohnern des Hauses und deren Kindern als Rückzugsort genutzt wurde. Darüber hinaus erfolgte die Videoüberwachung rund um die Uhr und die Speicherung des Bildmaterials fand ohne zeitliche Limitierung statt



November 28, 2022

Die Datenschutzaufsicht darf auch Hetzern auf die Finger hauen

Die Bremer Datenschutzaufsicht hat einen rechten Hetzer mit einem fragwürdigen Verständnis von Meinungsfreiheit in seine Schranken gewiesen; das Verwaltungsgericht Bremen (4 K 1338/21) hat dieses Vorgehen nun bestätigt. Demnach darf die Aufsichtsbehörde anordnen, Videos und Screenshots von Videokonferenzen eines öffentlichen Gremiums vollständig von einer Webseite zu entfernen, und deren künftige Veröffentlichung untersagen, soweit sie Teilnehmer Videokonferenz zeigen und/oder deren Stimmaufnahmen beinhalten.

Die besagte Veröffentlichung zielte laut VG Bremen darauf ab, die an der Videokonferenz beteiligten Personen zu diffamieren, und stellte keine berechtigte Mehrinformation gegenüber den öffentlichen Protokollen der Videokonferenz dar; es fehlte offenbar an einer journalistischen Aufarbeitung der bereitgestellten Informationen. Die Interessensabwägung fällt also gegen den Webseitenbetreiber aus.

Das Urteil zeigt, dass der Datenschutz zum Erhalt der Grundrechte und der freiheitlich-demokratischen Rechtsordnung beiträgt. Die Aufsichtsbehörden können hier eine wichtige und effektive Rolle einnehmen.



November 9, 2022

Schadenersatzanspruch im Falle einer Datenpanne

Hacker gelangten im vergangenen Jahr rechtswidrig an Datensätze von einer Vielzahl von Facebook-Nutzern. Wie genau die Angreifer an die Daten gelangen konnten, ist unklar. Es ist jedoch davon auszugehen, dass es gelang, sich unrechtmäßig von außen Zugriff auf IT-Systeme von Facebook zu verschaffen. Unabhängig vom konkreten Ablauf ist das unrechtmäßige Abfließen der Daten ein sog. Data-breach-Vorfall im Sinne von Art. 33 DSGVO. In einem Verfahren vor dem Landgericht Zwickau ist nun ein Versäumnisurteil (LG Zwickau,  7 O 334/22) ergangen, in dem einem von der Datenpanne betroffenen Facebook-Nutzer ein Schadenersatzanspruch in Höhe von EUR 1000 zugesprochen. Nach Auffassung des LG hatte Facebook keine ausreichenden Sicherheitsmaßnahmen getroffen, um das Abfließen der Daten zu verhindern.

Unternehmen sollten das Urteil als Anlass nehmen, die eigene IT-Sicherheit einmal mehr auf den Prüfstand zu stellen. Kommt es tatsächlich zu einem Data-breach-Vorfall sollten Unternehmen in der Lage sein zu belegen, dass die eigene IT im konkreten Fall in angemessenem Maß abgesichert war. Nur so können Schadenersatzansprüche im Nachgang abgewehrt werden.



Oktober 31, 2022

US-Datentransfer – die Rückkehr der Jedi-Ritter?

Am 7. Oktober 2022 hat US-Präsident Joe Biden die Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities unterzeichnet. Diese soll der Europäischen Kommission als Grundlage für einen neuen Angemessenheitsbeschluss für den Datentransfer in die USA dienen, nachdem der EuGH das Privacy Shield in seinem Schrems II-Urteil 2020 gekippt hatte (C-311/18). Die neue Executive Order sieht offenbar strengere Regeln für den Umgang mit personenbezogenen Daten durch US-Geheimdienste vor. Betroffene aus der EU sollen zudem ein mehrstufiges Redress-Verfahren nutzen können, für den Fall, dass US-Geheimdienste ihre Daten rechtswidrig verarbeitet haben. Wenn die Europäische Kommission mitmacht, können Verantwortliche in der EU auf Rechtsicherheit für ihre US-Datentransfers im ersten Halbjahr 2023 hoffen; andere sehen schon die Bühne für ein Schrems III-Urteil bereitet. Hat sich Disney schon die Filmrechte gesichert?



Oktober 6, 2022

Bundesarbeitsgericht: Schadensersatz nach der DSGVO

Ein verspäteter Auskunftsanspruch kann nach Auffassung des Bundesarbeitsgerichts einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO in Höhe von EUR 1.000,00 begründen. Darüber hinaus führt das BAG aus, dass auch im Zusammenhang mit Art. 82 DSGVO § 287 Abs. 1 Satz 1 ZPO zur Anwendung kommt. Das Gericht kann also die Schadensschätzung unter Würdigung aller Umstände nach freier Überzeugung vornehmen. Tatsächlich konnte das BAG daher auch nicht die Höhe des in der Vorinstanz vom Landgericht zugesprochenen Schadenersatzanspruchs prüfen, sondern die Entscheidung lediglich auf Ermessensfehler durchleuchten.

Unternehmen sollten ihre eigenen Prozesse rund um den Umgang mit Betroffenenrechten regelmäßig prüfen und überarbeiten, um nicht einer Vielzahl solcher Forderungen ausgesetzt zu werden.



September 30, 2022

Auskunftsanspruch umfasst nicht Akteneinsicht und Kopie einer Verwaltungsakte

Das Finanzgericht München (15 K 2067/18) hat geurteilt, dass Steuerakten nicht dem Anwendungsbereich der DSGVO unterfallen. Demnach kann ein Betroffener sich für ein Begehren auf Akteneinsicht bzw. Überlassung von Kopien der Steuerakten nicht mit Erfolg auf Art. 15 DSGVO stützen. Während strukturierte Einzelangaben dem Auskunftsanspruch unterliegen, fallen noch nicht „gehobene“ Einzelangaben in Steuerakten – Volltexte, die ggf. die Quelle der noch nicht strukturierten/gehobenen Daten darstellen – vor allem wegen ihrer fehlenden Strukturiertheit (noch) nicht in den Anwendungsbereich der DSGVO. Insbesondere gewährleistet der Auskunftsanspruch somit keinen Anspruch auf Überlassung von Kopien der in der Steuerakte enthaltenen Schriftstücke. Es wird sich zeigen, ob diese doch sehr pragmatische Herangehensweise des Finanzgerichts Bestand haben wird; andere Gerichte sind beim Umfang des Auskunftsanspruchs deutlich strenger.



September 6, 2022

BGH zur Berücksichtigung der Rechte Dritter beim Auskunftsanspruch

Nachdem sich in einem Mehrparteienhaus ein Mieter beim Vermieter über einen anderen Mieter beschwert hatte, verlangte der „verpfiffene“ Mieter vom Vermieter Auskunft darüber, welcher Mitbewohner sich über ihn beschwert hatte. Den Auskunftsanspruch stützte der Mieter auf Art. 15 Abs. 1 DSGVO. Das Auskunftsrecht wird nicht schrankenlos gewährt. Vielmehr sind die Rechte und Freiheiten des Hinweisgebers zu berücksichtigen. Im Rahmen der notwendigen Interessenabwägung ist nach Auffassung des BGH (VI ZR 14/21) insb. zu berücksichtigen, ob der Hinweisgeber wider besseren Wissens oder leichtfertig unrichtige Angaben getätigt hat. Ist das der Fall, soll das Interesse an der Geheimhaltung des Hinweisgebers gegenüber dem Auskunftsinteresse regelmäßig zurücktreten



August 30, 2022

E-Mail-Verschlüsselung nach Kriegswaffenkontrollgesetz und DSGVO

Was hat das eine mit dem anderen zu tun? Ein nach dem Kriegswaffenkontrollgesetz Verpflichteter wollte seine E-Mail-Meldungen an das elektronische Kriegswaffenregister des Bundesamts für Wirtschaft und Ausfuhrkontrolle nur noch Ende-zu-Ende-verschlüsseln; er befürchtete, Opfer einer Entführung oder eines Raubes zu werden, um an die gelagerten Produkte zu gelangen. Das VG Frankfurt (5 L 1281/22.F) entschied aber, dass das Bundesamt mit der vorhandenen Transportverschlüsselung die erforderlichen Vorkehrungen zur Wahrung der Integrität und Vertraulichkeit bereits getroffen hätte. Diejenigen, die nicht täglich mit Kriegswaffen handeln, müssen sich nur merken: Die Transportverschlüsselung von E-Mails reicht nach Stand der Technik für die Einhaltung der DSGVO aus, jedenfalls sofern keine Kategoriedaten oder besonderes Schutzbedürfnis vorliegen.



August 8, 2022

Dauerbrenner: DSGVO und Schadenersatz

Das LAG Schleswig-Holstein (6 Ta 49/22) hat im Rahmen einer sofortigen Beschwerde gegen die (teilweise) Versagung von Prozesskostenhilfe festgehalten, dass ein immaterieller Schaden in Höhe von bis zu 2000 € für einen Arbeitnehmer angemessen sind, der scheinbar freiwillig an einem Werbevideodreh teilgenommen hat, eine wirksame datenschutzrechtliche Einwilligung aber nicht vorlag. Nach Ansicht des Gerichts stellt bereits die Verletzung der DSGVO selbst einen zu kompensierenden immateriellen Schaden dar. Art. 82 Abs. 1 DSGVO erfordere über die Verletzung der DSGVO hinaus gerade nicht, dass die verletzte Person einen weiteren erlittenen Schaden darlegt. Das Gericht stützte sich dabei im Wesentlichen auf Erwägungsgrund 146 Satz 3 DSGVO und die entsprechende Rechtsprechung des EuGH, wonach der Begriff des Schadens extensiv auszulegen sei.



August 2, 2022

Arbeitnehmer in der Werbung sind immer ein Risiko

Mit Urteil vom 14. Dezember 2021 hat das ArbG Neuruppin (2 Ca 554/21) einer Arbeitnehmerin einen Schadenersatzanspruch in Höhe von 1000 Euro gegen ihren ehemaligen Arbeitgeber zugesprochen. Der Anspruch bestehe, da der Arbeitgeber, nach Beendigung des Arbeitsverhältnisses, mit der Klägerin als bei ihm angestellte Biologin geworben hatte. Auch nach entsprechender außergerichtlicher Aufforderung stellte der Arbeitgeber die Nennung auf seiner Webseite nicht ein. Nach Auffassung des Gerichts stellte diese Nennung eine schuldhaft unrichtige Verwendung von personenbezogenen Daten dar, die kausal für die Verletzung des allgemeinen Persönlichkeitsrechts der Klägerin war. Den dadurch entstandenen immateriellen Schaden legte das Gericht in Höhe von 1000 Euro fest.

Trotz der geringen Summe zeigt das Urteil abermals deutlich, dass Unternehmen nicht nur beim Onboarding neuer Mitarbeiter professionell und strukturiert aufgestellt sein müssen, sondern auch das Offboarding von Mitarbeitern den ein oder anderen Fallstrick mit sich bringen kann.



Juli 4, 2022

FAQ zu erneuerten SCC

Die EU-Kommission hat auf Ihrer Webseite FAQ zu den erneuerten Standard Contractual Clauses (SCC) veröffentlicht. SCC stellen eine geeignete Möglichkeit dar, einen Datentransfer in ein Drittland rechtmäßig auszugestalten. Der dazu in Form der SCC von der Kommission bereitgestellte Mustervertrag berücksichtigt dabei alle denkbaren Situationen: sowohl die Datenübertragung von Verantwortlichen zu Auftragsverarbeitern (und umgekehrt) sowie auch zwischen Auftragsverarbeitern oder Verantwortlichen. Ferner stellen die SCC im Rahmen einzelner Klauseln standardisierte Varianten (Optionen) zur Verfügung, mit denen der Vertrag den individuelle Bedürfnisse angepasst werden kann. Die Anpassungsmöglichkeiten der SCC sind dabei Fluch und Segen zugleich. Bereits die falsche Modulauswahl kann dazu führen, dass der Datentransfer rechtswidrig und damit bußgeldbewehrt ist. Die FAQ bieten zwar eine erste gute Anlaufstelle, um einen grundlegenden Eindruck von den Möglichkeiten der SCC zu erlangen. Als Ausfüllhilfe für Laien sind sie aber kaum geeignet. Die Gestaltung von Drittstaatentransfers unter Verwendung von SCC sollte nicht ohne anwaltliche Beratung erfolgen.



Mai 2, 2022

Auditing: Wie oft sollten Auftragsverarbeiter geprüft werden?

Der Verantwortliche ist verpflichtet, seine Auftragsverarbeiter zu überprüfen, um sicherzustellen, dass sie personenbezogene Daten im Einklang mit der DSGVO verarbeiten (Art. 28 DSGVO). Dementsprechend hat die dänische Datenschutzbehörde kürzlich (2022) die Frage erläutert, wie oft Auftragsverarbeiter überprüft werden sollten.

Die Anforderungen an die Prüfung von Auftragsverarbeitern steigen, wenn der Verarbeiter mehr personenbezogene Daten verarbeitet, die Daten vertraulicher oder sensibler werden oder die Verarbeitung eingreifender wird. Je kritischer daher die Verarbeitung für die betroffenen Personen ist, desto intensiver müssen die Kontrollen des Datenverarbeiters sein.

Wenn die Risiken für die betroffenen Personen hoch sind, ist ein jährliches Audit (vor Ort oder remote) erforderlich. Faktoren, die auf eine höhere Häufigkeit hindeuten, sind:

  • Schwierigkeiten des Auftragsverarbeiters in der Vergangenheit bei der Einhaltung der AV-Vereinbarung,
  • gehäuftes Auftreten schwerwiegender Datenpannen,
  • Subprozessoren werden häufig ersetzt,
  • häufige Übernahmen, Eigentümerwechsel, Fusionen oder erhebliche Änderungen in der Geschäftsstrategie des Auftragsverarbeiters.


April 12, 2022

Facial recognition: Die italienische Datenschutzbehörde verhängt Geldstrafe von 20 Millionen Euro gegen Clearview AI

Die italienische Datenschutzbehörde hat gegen das US-amerikanische Unternehmen Clearview AI eine Geldstrafe in Höhe von 20 Millionen Euro verhängt, weil es gegen die Bestimmungen der DSGVO verstoßen hat.

Erstens verarbeitete das Unternehmen personenbezogene Daten – die über öffentliche Webquellen und Web Scraping gesammelt wurden und über 10 Milliarden Gesichtsbilder enthielten – ohne Rechtsgrundlage (kein berechtigtes Interesse von Clearview).

Zweitens verstieß das Unternehmen gegen mehrere Grundprinzipien der DSGVO, darunter Transparenz – da es die betroffenen Personen nicht angemessen informierte -, Zweckbindung – da es Daten zu anderen Zwecken verarbeitete als denen, für die sie online zur Verfügung gestellt worden waren – und Speicherbegrenzung – da es keinen Zeitraum für die Datenspeicherung angab.

Das Unternehmen wurde angewiesen, die Daten zu löschen und einen Vertreter gem. § 27 DSGVO in der EU zu benennen.
(Übrigens hat die Ukraine berichtet, dass sie die Gesichtserkennungstechnologie von Clearview einsetzt, um Fehlinformationen zu bekämpfen und die Opfer zu identifizieren.)



April 1, 2022

Daten im Zielkonflikt

Das OLG Dresden (4 U 1278/21) hat sich mit der juristisch durchaus anspruchsvollen Frage auseinandergesetzt, wie mit Daten umzugehen ist, die ursprünglich unberechtigt gespeichert wurden, für die aber eine gesetzliche Aufbewahrungspflicht besteht.
Nach Ansicht des OLG kann die ursprünglich rechtswidrige Verarbeitung der Daten nicht durch ein gesetzliches Aufbewahrungsrecht „geheilt“ werden. Die personenbezogenen Daten müssten daher geschwärzt oder gelöscht werden bzw. sei der Zugang geeignet einzuschränken.

Solche Fragen im Spannungsfeld zwischen Löschpflicht bzw. Löschanspruch und gesetzlichen Aufbewahrungspflichten sind immer nur nach Einzelfallabwägung zu entscheiden. In dem zu entscheidenden Fall ging es um Buchhaltungsunterlagen nach § 147 AO, für die bei digitaler Aufbewahrung eigentlich Veränderungsschutz gilt. Nach Ansicht des OLG seien die Unterlagen daher nicht in ihrer Gesamtheit zu löschen, sondern nur die personenbezogenen Daten des Klägers durch „digitales Schwärzen“.



Februar 25, 2022

EDSA zum Auskunftsrecht

Lieblingsthema Auskunft! Der Europäische Datenschutzausschuss hat Ende Januar seine Leitlinien zum Auskunftsrecht gem. Art. 15 DSGVO zur öffentlichen Konsultation herausgegeben. Die Hilfestellung von höchster europäischer aufsichtsbehördlicher Ebene ist herzlich willkommen; dass damit aber das Thema Auskunft für Verantwortliche einfacher wird, darf man nicht erwarten. Immerhin spiegeln die Leitlinien im Wesentlichen die Anforderungen, die wir in verschiedenen Urteilsbesprechungen früherer DRF-Ausgaben beleuchteten, wider: Inhalt der Auskunft muss alles sein, was beim Verantwortlichen vorliegt, auch interne Vermerke und Kommunikation. Erfreulich praxisnah ist jedoch dabei, dass auch der EDSA ein mehrstufiges Auskunftsverfahren („layered approach“) als gangbaren Weg für das Beauskunften großer Datenmengen aufzeigt, um den Konflikt zwischen Vollständigkeit einerseits und Präzision und Zugänglichkeit andererseits zu lösen. Das Konsultationsverfahren läuft noch bis zum 11. März 2022.



Januar 31, 2022

Dient die Auskunft nur dem Datenschutz?

Die Auskunft gem. Art. 15 DSGVO ist hier schon öfter vorgekommen (möchte mal jemand nachzählen?); und auch der Beitrag von Bernhard und mir an anderer Stelle hat das Thema nicht abschließend behandelt. Die Rechtsmissbräuchlichkeit eines Auskunftsantrags hat nun das OLG Hamm festgestellt (20 U 269/21): In einem Streit mit einer Versicherung beantragte der Kläger, ihm Auskunft über die Beitragsanpassungen vergangener Jahre zu erteilen und hierzu geeignete Unterlagen zur Verfügung zu stellen. Dieser Auskunftsanspruch ließe sich hier jedoch nicht auf Art. 15 DSGVO stützen, da er gem. § 242 BGB rechtsmissbräuchlich sei. Die begehrte Auskunft diene ausschließlich der Verfolgung von Leistungsansprüchen, was nichts mit dem Zweck der DSGVO zu tun habe, nämlich dem Datenschutz. Demnach dürfe sich die Versicherung gem. Art. 12 Abs. 2 lit. b) DSGVO weigern, die Auskunft zu erteilen (vgl. LG Wuppertal, 4 O 409/20).



Dezember 6, 2021

Schadensersatz bei DSGVO-Verstößen

Gibt es bei Datenschutzverletzungen immer auch Schadensersatz, oder ist ein konkreter Schaden darzulegen? Diese ungeklärte Frage war Gegenstand einer Entscheidung des OLG Düsseldorf vom 16.02.21 (16 U 269/20). Nach Ansicht des OLG gibt Art. 82 DSGVO einen pauschalierten Anspruch – wie z. B. in der Fluggastrechte-VO – nicht her. Eine Schadensersatzpflicht sei nur in der Höhe eines konkret geltend gemachten Schadens denkbar, der nach Art und Entstehungsweise unter den Schutzzweck der verletzten Norm fällt.

Das Urteil ist damit zwar nachvollziehbar, solange man es durch die deutsche Schadensersatzrechtsbrille sieht. Es verkennt allerdings, dass das europäische Schadensersatzrecht einen viel stärkeren Fokus auf den Aspekt der Abschreckungswirkung hat und weniger den Ansatz der sog. Naturalrestitution verfolgt.

Auch ErwGr 146 unterstreicht den Willen des Gesetzgebers nach einer weiten Auslegung des Schadensbegriffs. Letztlich bedarf es hier dringend einer Klärung durch den EuGH.



November 3, 2021

Videoüberwachung im Supermarkt

Das OLG Stuttgart (12 U 296/20) hat die Videoüberwachung in einem Supermarkt für rechtswidrig erklärt. Nach Ansicht des Gerichts sei die pauschale Feststellung, die Videoüberwachung sei zur Gefahrenabwehr sowie zur nachträglichen Strafverfolgung erforderlich, nicht ausreichend. Es bedürfe vielmehr einer Prüfung, ob auch weniger einschneidende Maßnahmen ausreichend sein können (z. B. andere Raumaufteilung, Einsatz von Sicherheitsmitarbeitern etc.).

In diesem Zusammenhang stellte das OLG klar, dass den Betreiber der Überwachungsanlage – und nicht etwa den Kunden – die Beweislast für die Rechtmäßigkeit trifft.



Oktober 29, 2021

Die neue Festplatte: Was weg ist, ist weg

Eine Negativauskunft gem. Art 15 Abs. 1 S. 1 DSGVO (ob Daten verarbeitet werden) reicht aus, wenn eine Festplatte als Garantiefall ausgetauscht und zerstört wurde; Daten liegen nun mal keine mehr vor, so das OLG Dresden (4 U 324/21).

Der Verkäufer der Festplatte hatte vorab darauf hingewiesen, dass statt der Reparatur der Festplatte auch deren Austausch in Betracht kommt und für die Datensicherung allein der Kunde verantwortlich ist. Daraufhin stellt das Einsenden der Festplatte eine konkludente Einwilligung in den Austausch dar. Mit der Erklärung, den eingesandten Datenträger nicht mehr im Besitz und die aufgespielten Daten nicht ausgelesen zu haben, hat der Verkäufer als Verantwortlicher den Auskunftsanspruch abschließend erfüllt.

Pech für den Kunden, der seine Daten offenbar nicht gesichert hatte.

Merke: Ein Backup ist immer eine gute Idee.



Oktober 1, 2021

Schweizer Datenschutzbehörde erkennt EU-Standardvertragsklauseln an

Bernhard Kloos und ich hatten an anderer Stelle bereits über die neuen EU-Standardvertragsklauseln für den Drittstaatentransfer berichtet.

Nun hat auch die Datenschutzbehörde der Schweiz die neuen EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten in unsichere Drittländer anerkannt. In ihrer Erklärung stellt die Behörde dar, welche Anpassungen und Ergänzungen vorgenommen werden müssen, damit die Klauseln für die Schweiz funktionieren. So muss ggf. ein Anhang ergänzt werden, der präzisiert, dass die Verweise auf die DSGVO als Verweise auf das Schweizer Datenschutzgesetz zu verstehen sind. Ein weiterer Anhang muss festlegen, dass Betroffene mit gewöhnlichem Aufenthalt in der Schweiz ihre Rechte auch in der Schweiz einklagen können.

Übrigens: Seit dem 27. September 2021 können sowohl in der Schweiz als auch der EU nur noch die neuen Standardvertragsklauseln wirksam abgeschlossen werden.



September 6, 2021

BAG 8/20 Datenkopie erst nach Auskunf

BAG 8/20: Datenkopie erst nach Auskunft

Mit Urteil vom 27. April 2021 (2 AZR 342/20) hat das Bundesarbeitsgericht entschieden, dass ein Klageantrag auf Überlassung einer Kopie von E-Mails nur dann im Sinne von § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmt ist, wenn im Vollstreckungsverfahren ohne weiteres festgestellt werden kann, welche E-Mails erfasst sind.

Der Kläger hat im gerichtlichen Verfahren Auskunft über seine von der Beklagten verarbeiteten personenbezogenen Daten sowie die Überlassung einer Kopie diese Daten beantragt. Das Landesarbeitsgericht hatte die Klage im Hinblick auf den Antrag auf Überlassung einer Kopie teilweise als unzulässig wegen der Unbestimmtheit des Antrags abgewiesen. Die Revision des Klägers vor dem BAG blieb erfolglos.

Vergleichbare Konstellationen sollten in jedem Fall – anders als geschehen – im Rahmen einer Stufenklage nach § 254 ZPO geltend machen. Der vorgelagerte Auskunftsanspruch gibt die Möglichkeit zur hinreichend bestimmten Formulierung des Anspruchs auf Kopie.



August 31, 2021

BlnBDI startet „großangelegte Aktion“ gegen Tracking

Die Berliner Aufsichtsbehörde startete im August eine „großangelegte Aktion“, mit der sie ganze 50 Berliner Unternehmen mit Defiziten beim Einsatz vom Tracking-Techniken und Drittdiensten konfrontiert. Dabei fordert sie die Unternehmen auf, das Tracking auf ihren Webseiten in Einklang mit den geltenden Datenschutzregeln zu bringen. Jedoch ist es für die betroffenen Unternehmen teilweise gar nicht so einfach, welche Anpassungen die Behörde denn genau sehen will. Manche der spezifischen Kritikpunkte – Achtung: Insider-Wissen! – sind nämlich gut in der Darstellung der allgemeinen rechtlichen Anforderungen versteckt.

Die Aktion ist nach Aussage der Berliner Datenschutzbeauftragten Maja Smoltczyk Teil einer bundesweit abgestimmten Kampagne der Aufsichtsbehörden.



Juli 5, 2021

Nun sag’, wie hast du’s mit dem Datentransfer?

Wer nach all dem, was uns Max Schrems und der EuGH im Juli 2020 beschert haben, immer noch personenbezogene Daten in die USA schickt, sollte sich vorsehen. Dass das nicht so ohne Weiteres geht, sollte mindestens den geneigten Lesenden klar sein – allesamt herzlich gut. „Allein ich glaub’, du hältst nicht viel davon“ denken sich aber offenbar die Aufsichtsbehörden. Neun davon (BE, BB, BW, BY, HB, HH, NI, RP, SL) überprüfen nun in einer konzertierten Aktion den internationalen Datentransfer mit einem Schwerpunkt auf die Anforderungen des „Schrems II“-Urteils. Damit das Konzert harmonisch klingt, hat man weitgehend einheitliche Fragebögen erarbeitet. Diese werden seit Anfang Juni an ausgewählte Unternehmen geschickt. Ob man jede Frage dort im Einzelfall wirklich beantwortet, sollte man sich gut überlegen. Wohl denjenigen, die noch keine Post bekommen haben.



Mai 25, 2021

29. BfDI-Tätigkeitsbericht: Viel DSGVO, wenig KMU, ein bisschen Satire

Bereits in der letzten Ausgabe hatte ich ja bereits meine Lieblingslektüre für das erste Quartal oder auch Hälfte eines Jahres vorgestellt: Die Jahres- und Tätigkeitsberichte der Datenschutzaufsichtsbehörden. Anlässlich des 3. Geburtstags der DSGVO ist heute der 29. Tätigkeitsbericht des BfDI für 2020  an der Reihe. In diesem befasst er sich mit der Evaluierung durch EDSA und die Europäischen Kommission. Für diese beiden war die Notwendigkeit bürokratischer Erleichterungen für KMU immerhin ein Thema. In seiner eigenen Bewertung der DSGVO geht der BfDI hierauf leider doch nicht mehr ein. Der BfDI sieht stattdessen „kein[en] aktuelle[n] Änderungsbedarf“.

Weiteres prägendes Thema für den BfDI war 2020 natürlich auch die Corona-Pandemie. In der Öffentlichkeit erweist der BfDI sich immer wieder als tapferer Kämpfer gegen Falschmeldungen und Mythen, laut derer der Datenschutz die Pandemiebekämpfung behindere. Dies spiegelt sich auch im aktuellen Bericht wider, der Themen von der Corona-Warn-App über Videokonferenzsysteme bis hin sogar zur kontaktlosen Paketzustellung aufgreift. Letztere mit Hilfe der mittlerweile sehr verbreiteten Handscanner erfolgt an der Wohnungstür offenbar weitgehend datenschutzkonform. Wie schön!

In seinem Bericht erinnert der BfDI außerdem daran, dass Windows 10 und MS Office 365 so richtig datenschutzkonform derzeit immer noch nicht einzusetzen sind. Bei Windows 10 sollte mindestens die Telemetriestufe „Security“ genutzt werden, was aber auch nicht alle Probleme löst. Der Fokus der Behörden liege hier aber weiterhin auf dem Austausch mit Microsoft und weniger auf den zehntausenden Unternehmen und Organisationen, die die Produkte des Softwareriesens einsetzen.

2020 stellte der BfDI zudem klar, dass eine Löschpflicht tatsächlich durch eine Anonymisierung erfüllt werden kann. Danke hierfür! Dass hier wirklich immer eine Datenschutz-Folgenabschätzung durchgeführt werden muss, wie es der BfDI empfiehlt, kann auch anders gesehen werden.

Ansonsten unterhält der BfDI in seinem Bericht mit fast schon satirisch anmutenden Seitenhieben auf das Bundesgesundheitsministerium, das beim Patientendaten-Schutz-Gesetz nicht auf ihn gehört hat. Da stellt sich die Frage: Darf eine oberste Bundesbehörde Satire? Ich sage: Ja, bitte mehr davon!



Mai 3, 2021

BlnBDI: Kein Wahlrecht bei der Beauskunftung von Empfängern

In den ersten 3-4 Monaten eines Jahres erscheinen gefühlt 17 Tätigkeitsberichte der Datenschutzaufsichtsbehörden des Bundes und der Länder zum Vorjahr. Damit Sie die nicht alle lesen müssen, tun wir das für Sie und berichten hier dann gelegentlich über Berichtenswertes. In diesem Jahr sind sie sehr geprägt von Datenschutzthemen im Corona-Zusammenhang. Aber auch darüber hinaus bieten die Berichte Orientierung bei der sonstigen Anwendung der DSGVO. Der Bericht der Berliner Aufsichtsbehörde lässt – nicht ganz unerwartet – staunen: So müssten Verantwortliche Betroffenen bei Auskünften gem. Art. 15 DSGVO grundsätzlich sowohl die Kategorien von Empfänger*innen als auch die konkreten Empfänger*innen mitteilen. Art. 15 Abs. 1 lit. c) DSGVO sieht jedoch die Mitteilung der „Empfänger oder Kategorien von Empfängern“ vor. Ich weiß nicht, wie es Ihnen geht, aber ich lese da ein Wahlrecht.



April 7, 2021

Bußgeldbescheid gegen Deutsche Wohnen: Verfahren eingestellt

Das LG Berlin ((526 OWi LG) 212 Js-OWi 1/20 (1/20), 526 OWiG LG 1/20) hat im Februar das Bußgeldverfahren der Berliner Aufsichtsbehörde (BlnBDI) gegen die Deutsche Wohnen SE aus Verfahrensgründen eingestellt. Das LG Berlin vertritt die Meinung, dass Bußgelder gegen juristische Personen gem. Gesetz über Ordnungswidrigkeiten nur verhängt werden könnten, wenn eine nachgewiesene konkrete Handlung von Leitungspersonen oder gesetzlichen Vertretern dargelegt wird, die zu dem Bußgeldtatbestand geführt hat. Eine juristische Person selbst könne keine Ordnungswidrigkeit begehen. Damit schließt sich das Landgericht nicht der Auffassung an, dass die Bußgeldregelung in Art. 83 DSGVO Anwendungsvorrang vor nationalen Vorschriften hätte, und begründet dies mit der bewussten Ausgestaltung des BDSG. Die BlnBDI hat zwischenzeitlich Beschwerde gegen den Beschluss des LG Berlin eingelegt.



März 1, 2021

OVG Lüneburg: Unverpixelte Fotos auf Facebook datenschutzwidrig?

Wir hatten ja Dank des Ortsvereins einer Partei, der sich in der niedersächsischen Provinz lange für eine Fußgängerampel eingesetzt hatte, bereits vor ziemlich genau einem Jahr gelernt, dass wir Fotos auf Facebook besser nur mit Einwilligung veröffentlichen (Beitrag vom 04.02.2020). Der Streit zwischen den unwillentlich abgebildeten Eheleuten und dem Ortsverein ging nun in die nächste Runde und das OVG Lüneburg bestätigt: Die Veröffentlichung eines Fotos bei Facebook, auf dem Personen identifizierbar sind, bedarf einer datenschutzrechtlichen Legitimation. Fehlt die, sollten die Fotos anonymisiert werden. Also ran an Photoshop und „Mosaikeffekt“ an.

Übrigens: Die Veröffentlichung auf Webseiten der Lokalpresse zwecks Berichterstattung war unproblematisch. Das ist ja nicht Facebook, sondern nur das Internet.



Bloße Einlagerung von Patientenakten ist keine Datenverarbeitung im Sinne der DSGVO

Nachdem ein Youtuber im Mai 2020 in den Kellerräumen eines ehemaligen Krankenhausgebäudes auf eine Vielzahl von ungesichert zurückgelassenen Patientenakten gestoßen war, hat der Hamburgische DSB gegen die Grundstückseigentümerin eine datenschutzrechtliche Anordnung erlassen, die Daten besser zu sichern.

Im Rahmen eines Verfahrens im einstweiligen Rechtsschutz gegen diese Anordnung hat das OVG Hamburg ausgeführt, dass es für einen Verarbeitungsvorgang im Sinne der DSGVO eine willensgetragene menschliche Aktivität brauche. Bei der bloßen Lagerung von Daten sei das nicht der Fall, so dass es bereits an einem Verarbeitungsvorgang fehle.

Die Rechtsauffassung des Gerichts überzeugt nicht. Eine derartige Verengung des Verarbeitungsbegriffs ist Einfallstor für Schutzlücken auf Seiten der Betroffenen. Der Rechtsnachfolger eines Verantwortlichen könnte sich durch das bloße Nichtstun sämtlichen Betroffenenrechte der DSGVO entziehen.



Februar 3, 2021

Datentransfer nach dem Brexit

Für manche war es wohl eine Art Weihnachtsgeschenk als sich Boris Johnson und Ursula von der Leyen am 24.12.2020 kurz vor Toresschluss auf das Handels- und Kooperationsabkommen zwischen der EU und UK geeinigt haben. Dieses sorgt für Rechtsicherheit für den Transfer personenbezogener Daten. Denn das Abkommen sieht in einer Übergangsregelung vor, dass Übermittlungen personenbezogener Daten von der EU nach UK zunächst nicht als Übermittlungen in ein Drittland (Art. 44 DSGVO) angesehen werden. In der 4-monatigen Übergangzeit soll die EU-Kommission für UK einen Angemessenheitsbeschluss nach Art. 45 Abs. 3 DSGVO treffen (vgl. DSK). Der Datentransfer nach UK kann also ohne zusätzlichen Sicherungsaufwand weiterbetrieben werden. In die andere Richtung gilt dies wohl auch, denn laut britischer Aufsichtsbehörde bestehen für Übertragungen von UK in den EWR keine Einschränkungen.



Dezember 15, 2020

Best Practice Einwilligungsmanagement

Für die schwierigen Fragen unserer Zeit benötigt man praxistaugliche Lösungen. Wie schön ist es da, wenn man auf 178 Seiten im Auftrag des Bundesjustizministeriums (BMJV) erläutert bekommt, wie man eine datenschutzrechtliche Einwilligung gestaltet. Immerhin: es gibt auch einen Shortcut mit 8 Punkten auf 4 Seiten sowie das Webdesign für eine „User Journey“ mit Mock-Ups als Best Practice Modell.

Informiert und freiwillig muss sie sein, die Einwilligung. Datensparsam haben die Einstellungen zu sein und der Betroffene muss den Dienst auch ohne Einwilligung nutzen können. Nur für einen bestimmten Zweck darf man sie einholen, nicht global. Und natürlich: einfach bedienbar, transparent, verständlich, geräteübergreifend kompatibel, gestalterisch neutral, ablenkungs- und manipulationsfrei das Ganze. Unterstützt werden eine Entscheidungsbaumlogik sowie die Eigenverwaltung des Betroffenen mittels Datenschutz-Cockpit.

Das BMJV meint, damit den Mythos ausräumen zu können, Verbraucher wären „klickmüde“. Irgendwie fühle ich mich matt.



Dezember 8, 2020

1&1 vs. BfDI: Ein Urteil, zwei Gewinner?

Im Dezember hatte der BfDI dem TK-Anbieter 1&1 wegen unzureichender Authentifizierungsmaßnahmen im Kundenservice ein saftiges Bußgeld aufgebrummt. 1&1 hat sich dagegen gewehrt und das LG Bonn hat nun über das Bußgeld geurteilt. 1&1 muss weiterhin blechen. Hat der BfDI also gewonnen? Zumindest scheint es so, denn er fühlt sich absolut dadurch bestätigt, dass 1&1 900.000 Euro zahlen muss. Dabei verschweigt er aber, dass er ursprünglich 9,55 Millionen Euro haben wollte, was das LG Bonn aber als unangemessen hoch ansah. An ihr umsatzbasiertes Bußgeldkonzept müssen die Behörden wohl nochmal ran. 1&1 feiert sich mit dem über 90-prozentigem Discount dann doch als den wahren Gewinner.



Dezember 1, 2020

Neue Standardvertragsklauseln der EU-Kommission

Am 12.11.2020 hat die EU-Kommission ihre Entwürfe der neuen Standardvertragsklauseln nach Art. 45 DSGVO veröffentlicht.

Auffällig ist dabei der neue modulare Ansatz. Der Text enthält verschiedene Regelungsalternativen, die modulartig für die Übermittlungsszenarien zusammengestellt werden können. Neben den bekannten Szenarien wird nun auch die Übermittlung des Auftragsverarbeiters in der EU an einen Unterauftragnehmer und an einen Verantwortlichen im Drittland erfasst. Die Pflichten des Datenimporteurs bei Zugriff von Behörden wurden als Reaktion auf das Schrems-II-Urteil des EUGH ausgeweitet. Diese reichen aber nicht aus, um in jedem Fall ein angemessenes Datenschutzniveau zu gewährleisten. Ergänzungen, wie letzte Woche vom EDSA vorgeschlagen, werden weiterhin für die USA & Co. erforderlich sein. Der Text ist noch nicht final, die Ansätze sehen aber vielversprechend aus.



November 17, 2020

Neue EDSA-Guidelines

Der Europäische Datenschutzausschuss (EDSA) hat in den letzten Wochen zwei interessante Leitlinien zu entscheidenden Datenschutz-Themen zur öffentlichen Anhörung veröffentlicht: Guideline 07/2020 über die Konzepte Verantwortlicher und Auftragsverarbeiter in der DSGVO; Guideline 08/2020 über das Targeting von Social Media-Nutzern.

Beide Dokumente enthalten praxisrelevante Hinweise zu ihren Themen. Guideline 07/2020 unterstützt bei der Abgrenzung von Verantwortlichen, Auftragsverarbeitern und gemeinsam Verantwortlichen. Sie enthält zudem Tipps zur vertraglichen Ausgestaltung der Beziehungen zwischen Verantwortlichem und Auftragsverarbeiter sowie zwischen gemeinsam Verantwortlichen. Guideline 08/2020 hilft dabei, Social Media-Marketing datenschutzkonform einzusetzen. Hier ist besonders das Audience-Marketing mit Bestandskunden zu beobachten: Laut EDSA besteht hierfür u. U. ein berechtigtes Interesse (Rn. 60). Das BayLDA z. B. erlaubt diese hingegen nur mit Einwilligung.



November 10, 2020

Ist das Ausübung des Rechts auf freie Meinungsäußerung und Information oder kann das weg?

2020 ist ein Jahr zum Vergessen. Wollte man aber sämtliche Berichte über das Pandemiejahr aus den Google Suchergebnissen löschen, müsste man wohl noch eine Weile warten. Bestehendes journalistisches Interesse kann der Löschung vorgehen. Wie lange das so ist, entscheidet sich laut BGH (VI ZR 405/18) am Einzelfall.

Konkret versagte das Gericht einem Vorstandsmitglied eines Sozialverbandes kürzlich die Löschung negativer Presseartikel über ihn aus den Google Suchergebnissen. Der BGH sah einen Ausnahmetatbestand der Löschung, nämlich die Ausübung des Rechts auf freie Meinungsäußerung und Information als erfüllt. Bei der Abwägung der beiderseitigen Grundrechte sah er trotz des Alters der Berichte noch ein überwiegendes Informationsbedürfnis als gegeben an. Die Anwendbarkeit der Ausnahmetatbestände müsse stets im Wege einer Einzelfallabwägung ermittelt werden. 2020 bleibt uns dann wohl noch erhalten.



Oktober 1, 2020

EuGH zum Datenexport in USA: Post-Panik-Maßnahmen

Mitte Juli hat der EuGH die Übertragung von personenbezogenen Daten in die USA unter dem Privacy Shield für unzulässig erklärt (Schrems II). Die Auswirkungen sind massiv, schon allein weil die meisten Anbieter von Cloud-Lösungen, Video-TK- und Online-Tools (z. B. Google Analytics) in den USA ansässig sind.

Eine vollständige Lösung des Problems gibt es derzeit nicht. Zum aktuellen Stand und die jetzt zu ergreifenden (Interims-)Maßnahmen:

Mit Urteil vom 16.07.2020 hat der EuGH das Privacy-Shield-Abkommen zwischen der EU und den USA für Datenübermittlungen in die USA für unwirksam erklärt. Die dortigen Überwachungsmöglichkeiten würden Grundrechte verletzen, ein ausreichendes Schutzniveau der Betroffenen sei nicht sichergestellt. Trotzdem auf dieser Grundlage durchgeführte Datentransfers seien rechtswidrig. Sie können Bußgelder und Schadenersatzforderungen nach sich ziehen. Ein Transfer in die USA mittels vertraglicher Schutzmechanismen auf Basis der EU-Standardvertragsklauseln (SCC) bleibt möglich, erfordert aber zusätzliche Garantien für ein angemessenes Schutzniveau.

Die EU versucht, Lösungen zu schaffen. Die europäischen Datenschutzbehörden haben FAQ zum Urteil herausgebracht und eine Task Force eingesetzt. Etwas Verwertbares gibt es insofern noch nicht.

Gleichzeitig entstand zusätzlicher Handlungsdruck durch 101 Beschwerden wegen des Transfers in die USA bei der Nutzung von Google Analytics und Facebook Connect, in Deutschland etwa gegen netzwelt.de, sky.de, tvspielfilm.de, express.de, derwesten.de, wiwo.de und chefkoch.de.

Was nun zu tun ist: Nichts tun oder Abwarten ist keine Alternative, eine politische Lösung nicht absehbar. Die sichere Variante, wie etwa von der Berliner Datenschutzbeauftragten gefordert, lautet: Umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau wechseln.

In der Praxis ist das schwer möglich. Also müssen die Situation analysiert und Lösungen mit vertretbarem Risiko erarbeitet werden. Alle Prüfungsschritte und ergriffenen Maßnahmen sind zu dokumentieren. Wir haben dazu entlang der Orientierungshilfe des LfDI Baden-Württemberg die Checkliste „Transferproblematik“ erarbeitet. Unseren Mandanten stellen wir zudem angepasste SCC zur Verfügung.



Juli 20, 2020

Zurück zum Dosentelefon!

Nachdem die Berliner Datenschutzbehörde bereits eine Checkliste und einen Leitfaden zum Einsatz von Videokonferenz-Tools veröffentlichte, hat sie nun einige Anbieter genauer unter die Lupe genommen und Ihre Einschätzungen in einer Übersicht zu Videokonferenz-Tools mit Beurteilung im Ampel-Schema präsentiert. Ohne weiteres einsetzbar ist danach keiner der geprüften Anbieter. Wie nach den vorhergehenden Veröffentlichungen zu erwarten, steht die Ampel bei den gängigsten Tools Microsoft Teams, Skype, Zoom, Google Meet oder GoToMeeting auf rot. Grund ist aus Sicht der Behörde jeweils eine unzureichende Vereinbarung über die Auftragsverarbeitung. Unmittelbare Folge der Einschätzung ist bereits eine öffentlichkeitswirksame Auseinandersetzung mit Microsoft. Unabhängig davon, ob man die Ergebnisse der Behörde teilt, bleibt zu hoffen, dass nun ein Dialog einsetzt, der insbesondere bei US-Anbietern zu klareren Regelungen führt und so die Rechte der Verantwortlichen stärkt. Mit Wegfall des Privacy Shields ist nämlich klar, dass die Texte ohnehin angepasst werden müssen.



BfDI: Löschpflicht durch Anonymisierung erfüllbar

Den deutschen Aufsichtsbehörden wird ja gerne vorgehalten, dass diese viel zu zurückhaltend klare Vorgaben machen. Nicht so der Bundesbeauftragte: Der hat sich kürzlich festgelegt, dass eine Löschpflicht gem. Art. 17 DSGVO durch eine Anonymisierung erfüllbar sei. Voraussetzung hierfür ist, dass die personenbezogenen Daten rechtmäßig erhoben wurden und dann so anonymisiert werden, dass der Personenbezug nicht oder nur unter unverhältnismäßigem Aufwand an Zeit, Kosten und Arbeitskräften wiederhergestellt werden kann. Rechtsgrundlage bildet Art. 6 Abs. 1 lit. c) i. V. m. Art. 17 Abs. 1 lit. a) DSGVO. Zudem empfiehlt der BfDI die Durchführung eine Datenschutzfolgenabschätzung. Der BfDI macht damit besonders für datengetriebene und -intensive Geschäftsmodelle relevante Vorgaben.



Breaking News: Privacy Shield ist unwirksam

Er hat es wieder getan – die Beschwerde des österreichischen Datenschützers Schrems bringt nach dem Safe-Harbor-Abkommen nun auch dessen Nachfolger, das EU-US-Privacy-Shield, zu Fall.

Der EuGH urteilte, dass das Privacy- Shield- Abkommen kein Schutzniveau auf dem Level der DSGVO sicherstellt, insbesondere da Betroffenen kein Rechtsweg offensteht, der ihnen dem Unionsrecht vergleichbare Rechtsgarantien zusichert. So sei die eingerichtete Ombudsperson für Datenschutzbeschwerden nicht befugt, für US-Behörden verbindliche Entscheidungen zu treffen. Inhaltlich überrascht das Urteil nicht. Wir haben das in der Ausgabe 05/2019 vorhergesagt. Das Abkommen kaschierte die Mängel des Safe-Harbor-Abkommens nur unzureichend und war politisch motiviert, um den Datenfluss in die USA nicht abreißen zu lassen. Dass Schutzmechanismen, wie Zusagen der Obama-Regierung , spätestens in der aktuellen politischen Lage wertlos sind, liegt auf der Hand.

Die Standardvertragsklauseln hält der EuGH dagegen nicht für unwirksam, jedoch sei vor einem Datentransfer unter diesen Klauseln zu prüfen, ob in dem Zielland der nach EU-Recht erforderliche Schutz durch die Standardvertragsklauseln tatsächlich gewährleistet werden kann. Hier dürften die Gründe, die den Privacy Shield zu Fall brachten, wiederum durchschlagen. Die Berliner Datenschutzaufsicht verlangt bereits den Wechsel zu europäischen Anbietern. Was konkret zu tun ist, finden Sie in unserer Handlungsempfehlung zum Urteil.



BGH zur Cookie Einwilligung

Komisch –  der „opposite day“, an dem man immer das Gegenteil von dem sagt, was man meint, ist eigentlich am 25. Januar. Trotzdem hat der BGH in seiner Entscheidung Cookie-Einwilligung II schon jetzt festgestellt, dass Nicht-Nein Ja und zu viel Information zu wenig sein kann.

Das für technisch nicht notwendige Cookies nach der Cookie-Richtlinie eine ausdrückliche Einwilligung einzuholen ist, was nicht durch vorausgewählte Checkboxen erfolgen kann, hatte der EuGH bereits im letzten Sommer festgestellt. Dem BGH blieb da in seiner Entscheidung nicht mehr viel hinzuzufügen, außer der erstaunlichen Feststellung, dass die deutsche Regelung in § 15 Abs. 3 TMG, die ausdrücklich nur einen Widerspruch vorsieht, durchaus als Einwilligungserfordernis verstanden werden könne.

Ähnlich konträr ist die Feststellung, dass eine (zweite) Werbeeinwilligung deswegen nicht „in Kenntnis der Sachlage“ erfolgt, weil sie zu viele Informationen zu den einbezogenen Werbepartnern enthält.  Wäre heute der 25.01., würde ich sagen – Super Entscheidung, BGH!



Juli 7, 2020

DSK zur E-Mail-Verschlüsselung

Die Datenschutzkonferenz formuliert in ihrer Orientierungshilfe von Ende Mai 2020 Anforderungen an eine sichere Übermittlung personenbezogener Daten per E-Mail. Verantwortliche seien zumindest verpflichtet, den verschlüsselten Empfang lediglich zu ermöglichen, denn die Verantwortung für den einzelnen Übermittlungsvorgang liegt beim Sender. Versendet der Verantwortliche personenbezogene E-Mails, seien Verantwortliche verpflichtet mindestens eine Transportverschlüsselung sicherzustellen, ggf. auch eine Ende-zu-Ende-Verschlüsselung (S/MIME; OpenPGP). Auch machen die Behörden verpflichtende Vorgaben für Berufsgruppen, die nach § 203 StGB verpflichtet sind. Beißt sich das nicht mit dem jeweiligen Berufsrecht? Die Behörden verkennen, dass Art. 32 DSGVO eine situationsabhängige Abwägung der Sicherheitsmaßnahmen zulässt. So kann auch eine komplett unverschlüsselte E-Mail-Kommunikation vertretbar sein, besonders wenn der Betroffene selbst die E-Mail-Kommunikation unverschlüsselt eröffnet. Das kann auch mal jemand den Berliner Bezirksämtern und Senatsverwaltungen sagen.



Juli 1, 2020

Cookies – die letzte?

Wir erinnern uns: Im Oktober urteilte der EuGH nach Vorlage durch den BGH, dass technisch nicht erforderliche Cookies – die mit den Komfort- oder Tracking-Funktionen – nur noch mit aktiver Einwilligung des Nutzers gesetzt werden dürfen. Der BGH folgte nun diesen Vorgaben und hat es sogar geschafft, dass sich der jahrelange Widerspruch zwischen § 15 Abs. 3 Satz 1 TMG und seinem europäischen Pendant einfach in Luft auflöst. Naja, zaubern kann auch der BGH nicht, denn im TMG steht immer noch, dass Cookies zulässig sind „sofern der Nutzer dem nicht widerspricht“, während die europäische Gesetzgebung die aktive Einwilligung fordert. Einfach das TMG richtlinienkonform entgegen dem ausdrücklichen Wortlaut ausgelegt, fertig. Eine praxisgerechte Lösung hätten wir uns anders vorgestellt, etwa im Hinblick auf statistische Auswertungen. Aber was soll’s. Das letzte Feigenblatt für eine Opt-out-Gestaltung ist damit jedenfalls weg.



Juni 8, 2020

Woher haben Sie diese Nummer? – Umfang des Auskunftsanspruchs

Einen hartnäckigen Fall hatten die Richter des AG Wertheim und des LG Mosbach da anscheinend vor sich. Es brauchte erst ein Zwangsgeld, um den Auskunftsanspruch nach Art. 15 DSGVO durchzusetzen. Die Auskunft wurde zwar größtenteils erbracht. Zur Herkunft der Daten erteilte die Beklagte nur die allgemeine Info, diese stammten aus einem Bezahlvorgang. Mehr wollte die Beklagte nicht sagen, da die Daten offenbar von einem Dritten verwendet wurden. Die DSGVO ist an dieser Stelle aber ausnahmsweise recht eindeutig: Der Auskunftsanspruch erfasst alle verfügbaren Informationen zur Herkunft. Das LG Mosbach sah das genauso. Dies fordere eine genaue Auskunft über die Herkunft und die für die Erhebung verwendeten Mittel. Auch wenn ein Dritter Daten einer anderen Person verwendet, bleiben diese dennoch personenbezogenen Daten dieser Person. Und vor sich selbst müssen die eigenen Daten nicht geheim gehalten werden.



Juni 2, 2020

Lost in (Co-Working) Space

Die DSGVO gilt seit nun exakt zwei Jahren. In den viel älteren und viiieeel cooleren Co-Working-Spaces scheint sie bislang allerdings nicht angekommen zu sein. Wer hier nach den Maßnahmen des Betreibers in Sachen Daten- und Geheimnisschutz sowie IT-Sicherheit sucht, findet alles, aber nichts Brauchbares: beschriftete Wände, Barhocker ohne Bar, „Premium-Annehmlichkeiten“, Prokrastinationspartner, „Besprechungssituationen“ in der Größe von Umzugskartons und ganz viel WLAN. Und eine Women’s Corner mit Kinderspielecke (Warum bitte nicht für Väter??). Es gibt zwar Datenschutzerklärungen der Betreiber, allerdings nur für ihre Website. Die Nutzer aber benötigen technische und organisatorische Maßnahmen des Betreibers! Verschlüsseltes Netzwerk, „rückstandsloses“ Drucken und Nutzen der Präsentationstechnik, Telefonie ohne Mithörer, Arbeiten ohne Shoulder Surfer etc. Ein NDA löst das Problem übrigens nicht. Es drohen Bußgelder und unerkannte Vertragsbrüche. Ähnliches gilt übrigens auch bei der gewerblichen Untermiete.



Mai 18, 2020

EUR 50.000 Bußgeld wegen falscher Auskunft und fehlendem AV-V

Für jemand anderen nach Art. 15 DSGVO zu beauskunften, ist offenbar auch ein Geschäftsmodell – aber eins mit Tücken. Ein Unternehmen im Brandenburgischen hatte einen Dienstleister mit der Auskunft beauftragt, der auf die Betroffenenanträge in englischer Sprache und unter eigenem Logo antwortete. Für die Betroffenen war so nicht ersichtlich, wer denn nun gem. Art. 24 DSGVO für die Verarbeitung verantwortlich war. Außerdem gab’s entgegen Art. 28 Abs. 9 DSGVO keinen schriftlichen AV-Vertrag – das kleine Einmaleins der DSGVO. „Setzen, 6!“ meinte da die märkische Aufsichtsbehörde, monierte fehlende Transparenz und Verständlichkeit sowie das Fehlen der schriftlichen AV-Vereinbarung und verdonnerte das Unternehmen zu 50.000 EUR Geldbuße. Applaus für den Dienstleister! Dann vielleicht doch lieber selbst machen? Wir helfen auch dabei.



Mai 11, 2020

Was KUGst du!?

Seit Mai 2018 beurteilt sich das Fotografieren von Personen in der Regel nach der DSGVO, nicht mehr nach dem Kunsturhebergesetz (KUG). Dies schafft praktische Probleme, da anders als nach dem KUG eine Einwilligung nach DSGVO jederzeit ohne weitere Voraussetzungen widerrufen werden kann.  Nun versagte das OVG Rheinland-Pfalz einem Lehrer die nachträgliche Entfernung seiner Bilder aus dem Schul-Jahrbuch unter Berufung auf das KUG. Auf das gedruckte Buch findet die DSGVO mangels automatisierter Datenverarbeitung keine Anwendung mehr. Das Gericht sah in den Klassenfotos Bildnisse der Zeitgeschichte, für die keine Einwilligung erforderlich sei. Außerdem habe der Lehrer auch durch seine Teilnahme an dem gestellten Foto seine Einwilligung konkludent erteilt. Widerrufe er diese nun, verhalte er sich widersprüchlich. Nach DSGVO wäre diese Bindung an das Vorverhalten nicht möglich gewesen. Das zeigt, dass das KUG das bessere Gesetz für den Umgang mit Bildern ist.



April 14, 2020

Online-Bestellung bei Apotheke als Gesundheitsdaten?

Dies hat das OLG Naumburg nun für den Vertrieb von apothekenpflichtigen Medikamenten über Amazon so entschieden. Aus deren Bestellung ergäben sich Information über die Gesundheit des Käufers. Diese seien damit sensible Gesundheitsdaten nach Art. 9 DSGVO. Dass die Bestellung auch für Dritte erfolgen könne, ließ das Gericht nicht gelten. Für die Verarbeitung dieser Daten gilt aber die Rechtsgrundlage Vertragserfüllung nicht. Auch die  verschiedenen Spezialtatbestände des Art. 9 DSGVO waren nicht einschlägig. Somit hätte eine Einwilligung eingeholt werden müssen. Diese muss bei sensiblen Daten anders als in sonstigen Fällen ausdrücklich erfolgen. Ohne diese fehlte der Apotheke die Rechtsgrundlage für die Verarbeitung der Bestellung. Dieser Verstoß war nach Auffassung des OLG auch über § 3a UWG durch einen Mitbewerber abmahnbar.



April 6, 2020

Ruf mich an! Oder warte mal…

Das Double-Opt-In-Verfahren (DOI) zur Verifizierung von E-Mail-Adressen zur werblichen Nutzung sollte mittlerweile jedem ein Begriff sein. Während dieses Verfahren für das E-Mail-Marketing bereits genügend Untiefen birgt, versuchte sich ein Versicherungsvermittler am DOI zur Verifizierung von Telefonnummern per E-Mail. Denn nach § 7 Abs. 2 Nr. 2 UWG ist Telefonwerbung gegenüber Verbrauchern generell nur nach deren vorheriger ausdrücklicher Einwilligung zulässig. Trotzdem gab es Ärger mit der Aufsichtsbehörde, und auch das VG Saarlouis  erkannte, dass da kein notwendiger Zusammenhang zwischen der im Online-Formular eingetragenen E-Mail-Adresse und der angegebenen Telefonnummer bestehen müsse. Also ist das DOI ungeeignet zum Nachweis einer Einwilligung des Anschlussinhabers in die Nutzung der Telefonnummer zu Werbeanrufen. Wie man diese aber verifizieren soll, überlässt der Gesetzgeber der Risikofreude der Werbetreibenden. Wir beraten Sie gern zu den Schattierungen von Grau.